Segurança em Tecnologia da Informação (GTI08) Prova Final

Prévia do material em texto

Acadêmico: Ruan Borba Viana (2712555) 
Disciplina: Segurança em Tecnologia da Informação (GTI08) 
Avaliação: 
Avaliação Final (Objetiva) - Individual FLEX ( Cod.:649785) ( 
peso.:3,00) 
Prova: 25424694 
Nota da 
Prova: 
10,00 
Legenda: Resposta Certa Sua Resposta Errada 
1. A auditoria no desenvolvimento e na manutenção dos sistemas de informação é 
essencial e garante que qualquer alteração não torne todo o sistema ou a rede 
vulnerável e insegura. Esses processos de desenvolvimento e manutenção envolvem 
profissionais de TI que possuem conhecimento suficiente, para assegurar que as 
novas versões dos sistemas sejam seguras. Estes procedimentos devem atender 
especificamente às políticas de segurança e disponibilizar o pleno funcionamento do 
negócio da organização. É preciso implementar certos procedimentos de 
desenvolvimento, manutenção e documentação dos sistemas para garantir a 
segurança das tecnologias da informação. Sobre esses processos, classifique V para 
as sentenças verdadeiras e F para as falsas: 
 
( ) Capacitação, treinamentos e desenvolvimento dos usuários. 
( ) Conscientizar, implantar cursos e palestras para divulgar a segurança. 
( ) Aquisição, planejamento e manutenções preventivas. 
( ) Modificação, documentação e especificação dos programas. 
 
Assinale a alternativa que apresenta a sequência CORRETA: 
 a) F - V - F - F. 
 b) V - F - F - V. 
 c) F - F - V - V. 
 d) V - V - V - F. 
 
2. Segurança da informação significa proteger seus dados e sistemas de informação de 
acessos e uso não autorizados, divulgação, modificação, leitura, gravação, inspeção e 
destruição. O conceito de segurança da informação está ligado à confidencialidade, à 
integridade e à disponibilidade da informação. O conceito de segurança de 
processamento está ligado à disponibilidade e operação da infraestrutura 
computacional. Esses conceitos são complementares e asseguram a proteção e a 
disponibilidade das informações das organizações. O impacto da perda e/ou violação 
de informações para empresa é enorme e pode, em alguns casos, levá-la à falência. 
Com relação aos itens que devem ser observados na segurança ambiental das 
informações, analise as opções a seguir: 
 
I- Definição de perímetros lógicos. 
II- Energia alternativa. 
III- Política de mesa limpa e tela limpa. 
IV- Segurança para micros, terminais e estações. 
V- Proteção de documentos em papel. 
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMTUwMQ==&action2=R1RJMDg=&action3=NjQ5Nzg1&action4=MjAyMC8y&action5=MjAyMC0xMC0zMVQwMzowMDowMC4wMDAwMDBa&prova=MjU0MjQ2OTQ=#questao_1%20aria-label=
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMTUwMQ==&action2=R1RJMDg=&action3=NjQ5Nzg1&action4=MjAyMC8y&action5=MjAyMC0xMC0zMVQwMzowMDowMC4wMDAwMDBa&prova=MjU0MjQ2OTQ=#questao_2%20aria-label=
 
Assinale a alternativa CORRETA: 
 a) As opções I, II e V estão corretas. 
 b) As opções I, III e IV estão corretas. 
 c) As opções II, III e V estão corretas. 
 d) As opções II, III e IV estão corretas. 
 
3. O PCN - Plano de Continuidade de Negócios (BCP - Business Continuity Plan), com 
relação ao escopo das políticas de continuidade dos negócios, deve prover 
alternativas para o processamento de transações econômicas e financeiras das 
organizações em casos de falhas graves de sistemas ou desastres. Para que o plano, 
no caso da necessidade de uso, possa dar a garantia de eficiência desejada, deve 
haver ações que monitorem e testem a sua eficiência. Desta forma, podemos afirmar 
que: 
 
I- A gerência deve identificar suas informações críticas, níveis de serviços 
necessários e o maior tempo que poderia ficar sem o sistema. 
II- A gerência deve assinalar prioridades aos sistemas de informações para que possa 
determinar as necessidades de backup e sua periodicidade. 
III- O BCP deve ser desenvolvido e documentado, além ter as manutenções 
atualizadas, para garantir as operações pós-desastres. 
IV- São considerados objetos da contingência uma aplicação, um processo de 
negócio, um ambiente físico e também uma equipe de funcionários. 
 
Assinale a alternativa CORRETA: 
 a) Todas as sentenças estão corretas. 
 b) As sentenças II e IV estão corretas. 
 c) As sentenças I e II estão corretas. 
 d) As sentenças I e III estão corretas. 
 
4. Quando duas pessoas, Alice e Bob, querem trocar mensagens entre si e garantir que 
nenhum intermediário consiga interceptar as mensagens e entendê-las, uma das 
alternativas é a utilização de criptografia. Com relação à criptografia, analise as 
afirmativas a seguir: 
 
I- Uma mensagem em texto plano é cifrada através de um algoritmo de criptografia 
(chave) e somente pode ser desencriptada com a utilização do mesmo algoritmo. 
II- A combinação da autenticação e da criptografia constituem os chamados canais 
seguros, que fornecem serviços de segurança para as tecnologias de comunicação 
existentes. 
III- A utilização de firewalls é essencial para a eficiência das chaves utilizadas na 
criptografia de mensagens. 
IV- A tecnologia de autenticação, parte componente dos canais seguros, consiste na 
utilização de informações de login e senha por parte dos usuários que quiserem se 
comunicar. 
 
Assinale a alternativa CORRETA: 
 a) As afirmativas I, II e IV estão corretas. 
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMTUwMQ==&action2=R1RJMDg=&action3=NjQ5Nzg1&action4=MjAyMC8y&action5=MjAyMC0xMC0zMVQwMzowMDowMC4wMDAwMDBa&prova=MjU0MjQ2OTQ=#questao_3%20aria-label=
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMTUwMQ==&action2=R1RJMDg=&action3=NjQ5Nzg1&action4=MjAyMC8y&action5=MjAyMC0xMC0zMVQwMzowMDowMC4wMDAwMDBa&prova=MjU0MjQ2OTQ=#questao_4%20aria-label=
 b) As afirmativas II, III e IV estão corretas. 
 c) As afirmativas I e II estão corretas. 
 d) As afirmativas I e IV estão corretas. 
 
5. A política de segurança deve capacitar a organização com instrumentos jurídicos, 
normativos e processuais. Com o objetivo de fornecer orientação e apoio às ações de 
gestão da segurança, a política possui uma função fundamental e de grande 
abrangência. Os elementos que uma política de segurança deve possuir é o essencial 
para o combate as adversidades. Sobre os elementos para a definição e implantação 
de uma politica de segurança, assinale a alternativa CORRETA: 
 a) Vigilância, tecnologia e atitude. 
 b) Tecnologia, equipamento e estratégia. 
 c) Estratégia, sequência e ordem. 
 d) Atitude, vigilância e equipe. 
 
6. Um plano de contingência é um tipo de plano preventivo, preditivo e reativo. 
Apresenta uma estrutura estratégica e operativa que ajudará a controlar uma situação 
de emergência e a minimizar as suas consequências negativas. O plano de 
contingência propõe uma série de procedimentos alternativos ao funcionamento 
normal de uma organização, sempre que alguma das suas funções usuais se vê 
prejudicada por uma contingência interna ou externa. Com base na avaliação do 
plano de contingência, classifique V para as sentenças verdadeiras e F para as falsas: 
 
( ) Os planos devem ser específicos para cobrir apenas os aspectos lógicos, os 
demais aspectos não são considerados no plano de contingência. 
( ) O plano deve garantir que as cópias de segurança (backup) estejam atualizadas e 
sejam de fácil recuperação. 
( ) Os planos de contingências são apenas teóricos, não havendo necessidade de 
testes ou revisões periódicas. 
( ) O acompanhamento dos procedimentos pode ser facilitado através de relatórios 
de produção. 
 
Agora, assinale a alternativa que apresenta a sequência CORRETA: 
 a) F - V - F - F. 
 b) V - V - V - F. 
 c) F - V - F - V. 
 d) V - F - V - F. 
 
7. Devido ao valor da informação nas empresas, que é quase imensurável em muitos 
casos, medidas devem ser tomadas para minimizar os danos provocadospor 
desastres ou ataques, que colocam em risco as informações e geram perdas dos 
dados. Segundo o BIA (Business Impact Analysis), alguns impactos podem ser 
medidos quantitativamente e categorizados. Quais são essas categorias? 
 a) Alto, médio e baixo. 
 b) Incêndio, greve e sabotagem. 
 c) Necessário, prioritário e urgente. 
 d) Ataques, falta de luz e sabotagem. 
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMTUwMQ==&action2=R1RJMDg=&action3=NjQ5Nzg1&action4=MjAyMC8y&action5=MjAyMC0xMC0zMVQwMzowMDowMC4wMDAwMDBa&prova=MjU0MjQ2OTQ=#questao_5%20aria-label=
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMTUwMQ==&action2=R1RJMDg=&action3=NjQ5Nzg1&action4=MjAyMC8y&action5=MjAyMC0xMC0zMVQwMzowMDowMC4wMDAwMDBa&prova=MjU0MjQ2OTQ=#questao_6%20aria-label=
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMTUwMQ==&action2=R1RJMDg=&action3=NjQ5Nzg1&action4=MjAyMC8y&action5=MjAyMC0xMC0zMVQwMzowMDowMC4wMDAwMDBa&prova=MjU0MjQ2OTQ=#questao_7%20aria-label=
 
8. Muito antes que se possa auditar um sistema, você precisará criar as políticas e os 
procedimentos que estabeleçam as regras e os requisitos desse sistema, ou seja, antes 
de determinar se algo funcionou, primeiramente será preciso definir como se 
esperava que funcionasse. Isso é conhecido como avaliação de sistema. É o momento 
onde você avalia todos os componentes de seu sistema e determina como cada um 
deve funcionar. Isso define suas expectativas de linha de base. Uma vez que tenha 
isso, você poderá auditá-lo. Você compara o desempenho do sistema a suas 
expectativas de linha de base para ver se tudo funcionou conforme planejado. Para 
garantir a qualidade do sistema de gestão da segurança da informação, utilizamos 
normas e padrões como o Padrão BS7799 e a Norma ISO/IEC 17799. Sobre o 
exposto, classifique V para as sentenças verdadeiras e F para as falsas: 
 
( ) O Ciclo PDCA foi criado em 1920 e, ainda hoje, é o principal método da 
Administração pela Qualidade Total, sendo indicado na BS7799-2 como meio de 
facilitar o gerenciamento do projeto de Segurança da Informação. 
( ) A norma ISO/IEC 17799 surgiu num momento em que as organizações de todo 
o mundo passaram a investir muito mais em segurança da informação, muitas vezes 
sem orientação. Devido a sua notoriedade, a norma ISO 17799 passou a ser 
referenciada como sinônimo de segurança da informação. 
( ) A ISO/IEC 17799 contempla ao todo 127 controles, porém nem sempre é 
necessária a adoção de todos, além disso, é necessária a integração de outros padrões 
e normas, dentre os quais podem ser destacados ISO/IEC 13335 e IEC 61508. 
( ) Conforme especificado pela ISO/ IEC17799, a política de Segurança deverá 
apresentar algumas características para ser aprovada pelos colaboradores, divulgada 
e publicada de forma ampla para todos da direção e, por último, a criação do comitê 
de segurança. 
 
Assinale a alternativa que apresenta a sequência CORRETA: 
 
FONTE: KIM, David. Fundamentos de segurança de sistemas de informação. Rio de 
Janeiro: LTC, 2014. 
 a) V - V - V - F. 
 b) F - F - F - V. 
 c) V - F - F - F. 
 d) F - V - V - V. 
 
9. Entende-se por informação baseada em Tecnologia da Informação, ?a informação 
residente em base de dados, arquivos informatizados, mídias magnéticas ou outras 
que exijam soluções de informática para acessá-las? (BEAL, 2008, p. 33). Sobre os 
motivos pelos quais as organizações tomam medidas relacionadas à segurança dos 
componentes de TI e da informação neles contida, classifique V para as sentenças 
verdadeiras e F para as falsas: 
 
( ) A maioria das organizações depende intensamente dos recursos de tecnologia da 
informação para manter a continuidade de suas operações. 
( ) A infraestrutura tecnológica é vulnerável a diversos tipos de ameaças, podendo 
estas ser de origem lógica, física ou ambiental. 
( ) A segurança, como requisito não funcional, não recebe a devida atenção em 
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMTUwMQ==&action2=R1RJMDg=&action3=NjQ5Nzg1&action4=MjAyMC8y&action5=MjAyMC0xMC0zMVQwMzowMDowMC4wMDAwMDBa&prova=MjU0MjQ2OTQ=#questao_8%20aria-label=
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMTUwMQ==&action2=R1RJMDg=&action3=NjQ5Nzg1&action4=MjAyMC8y&action5=MjAyMC0xMC0zMVQwMzowMDowMC4wMDAwMDBa&prova=MjU0MjQ2OTQ=#questao_9%20aria-label=
projetos de desenvolvimento de software, seja ele interno ou externo. 
( ) A obscuridade apresenta características suficientes para garantir a segurança das 
informações baseadas em Tecnologia da Informação. 
( ) A simples exclusão de informações confidenciais de um microcomputador não 
cumpre totalmente o objetivo de confidencialidade, uma vez que essas informações 
podem ser recuperadas através do uso de utilitários de recuperação de dados. 
 
Agora, assinale a alternativa que apresenta a sequência CORRETA: 
 
FONTE: BEAL, Adriana. Segurança da informação: princípios e melhores práticas 
para a proteção dos ativos de informação nas organizações. São Paulo: Atlas, 2008. 
 a) F - F - V - V - F. 
 b) V - V - V - F - V. 
 c) F - V - F - V - V. 
 d) V - F - V - F - V. 
 
10. A Segunda Guerra Mundial foi testemunha de uma grande era no que concerne à 
tecnologia de informação, em 1950, em que mudanças foram provocadas em todos 
os ambientes de negócios. As instituições e as empresas comerciais começaram a 
expandir-se rapidamente. Entretanto, os custos e o aumento de vulnerabilidade do 
sistema de processamento eletrônico de dados emanados do uso difundido de 
Tecnologia de Informação geraram a necessidade de os auditores internos e 
independentes possuírem habilidade em processamento eletrônico de dados, bem 
como a necessidade de aumentar as técnicas e as ferramentas de avaliação de 
sistemas, assegurando que os dados sejam confiáveis e auditáveis. Com base nos 
objetivos da auditoria, classifique V para as sentenças verdadeiras e F para as falsas: 
 
( ) Verificar se os ativos estão preservados adequadamente. 
( ) Examinar a integridade, a confiabilidade e a eficiência do sistema de informação 
e dos relatórios financeiros nele produzidos. 
( ) Verificar se os recursos estão sendo empregados em função da análise de custo 
e benefício. 
( ) Garantir a alteração dos controles do sistema que está sendo implementado e 
que está sendo inutilizado. 
 
Assinale a alternativa que apresenta a sequência CORRETA: 
 
FONTE: https://jus.com.br/artigos/56084/auditoria-de-sistemas-de-informacao-
introducao-controles-organizacionais-e-operacionais. Acesso em: 30 out. 2019. 
 a) F - V - V - V. 
 b) V - F - F - F. 
 c) V - V - V - F. 
 d) F - F - V - F. 
 
11. (ENADE, 2014) No cenário de uma economia globalizada, cresce o interesse pelo 
empreendedorismo e pela busca de meios que levem a uma maior produtividade, 
competitividade e inovação. Os avanços das tecnologias da informação e 
comunicação (TIC) auxiliam esse crescimento. Atualmente, uma parcela 
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMTUwMQ==&action2=R1RJMDg=&action3=NjQ5Nzg1&action4=MjAyMC8y&action5=MjAyMC0xMC0zMVQwMzowMDowMC4wMDAwMDBa&prova=MjU0MjQ2OTQ=#questao_10%20aria-label=
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMTUwMQ==&action2=R1RJMDg=&action3=NjQ5Nzg1&action4=MjAyMC8y&action5=MjAyMC0xMC0zMVQwMzowMDowMC4wMDAwMDBa&prova=MjU0MjQ2OTQ=#questao_11%20aria-label=
significativa dos negócios tem uma dependência forte das TIC. 
Desse modo, manter a disponibilidade da informação e comunicação e manter os 
negócios operando, sem qualquer paralisação, é indispensável. No entanto, é preciso 
analisar o que pode ser afetado, qual o impacto financeiro e quais os impactos na 
imagem e na reputação da empresa, se cadaum dos processos de negócio sofresse 
uma paralisação por conta da TIC. A fim de mitigar possíveis riscos, é recomendável 
documentar um plano para eliminar ou reduzir a possibilidade de ocorrer cenários de 
indisponibilidade da TIC. Nessa situação, é preciso elaborar: 
 a) Plano de negócio de gerência de riscos. 
 b) Plano de negócio. 
 c) Plano de negócio de gerenciamento de projetos. 
 d) Plano de contingência. 
 
12. (ENADE, 2014) As transações eletrônicas na Internet precisam de mecanismos de 
segurança capazes de garantir autenticidade, confidencialidade e integridade das 
informações. Com relação a esse contexto, avalie as afirmações a seguir: 
 
I. Criptografia assimétrica é um método em que é utilizado um par de chaves: uma 
pública e uma privada. 
II. Certificado digital é um documento assinado digitalmente que permite associar 
uma pessoa ou entidade a uma chave pública. 
III. Assinatura digital é um método de autenticação de informação digital 
tipicamente tratado como análogo à assinatura física em papel. 
IV. VPN (Virtual Private Network) é um dispositivo de uma rede de computadores 
por meio do qual se aplica uma política de segurança a determinado ponto da rede. 
 
É correto apenas o que se afirma em: 
 a) I, II e III. 
 b) I e II. 
 c) II, III e IV. 
 d) III e IV. 
 
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMTUwMQ==&action2=R1RJMDg=&action3=NjQ5Nzg1&action4=MjAyMC8y&action5=MjAyMC0xMC0zMVQwMzowMDowMC4wMDAwMDBa&prova=MjU0MjQ2OTQ=#questao_12%20aria-label=